網絡偵測與回應結合先進的網絡保安技術及方法,以識別異常情況及回應其他保安措施可能錯過的威脅。
目錄
NDR 為保安運作中心團隊解決了哪些挑戰?
警示超出負荷、錯誤警報及未優先排序風險
保安運作中心經常被警報所淹沒,導致誤判及錯過攻擊。即使警示激增,他們也可能沒有充分了解事件或風險所需的數據。如果雜訊太高,且資料不精準及缺乏可行資訊,就很難找出及防範威脅。
NDR 透過監控網絡流量及裝置行為來解決這些難題。它可偵測、分析及確定任何未受管理裝置的異常活動,即使是隱藏的裝置。此外,NDR 的關聯能力可跨過規律並將疑點連繫,幫助您更精確地區分合法的潛在威脅與無害活動。在網絡上發現不受管理的資產。偵測及關聯缺乏足夠背景資訊的低信心「弱信號」警示。然後鎖定威脅及攻擊者。
不受管理、不受保護的資產及人工智能整合
網絡通常擁有大量不受管理資產,換言之,並無安裝保安代理程式的裝置,或其保安設定錯誤或過時。根據估計,不受管理資產比受管理資產更多,比率可達二比一。這些都是難以補丁的,而且很少會進行漏洞掃瞄。
部分非管理資產甚至可能無法掃描。尤其是在舊設備方面,製造商發佈安全更新的速度可能較慢,或者他們可能不再收到更新,因為其支援期已經結束。資訊科技團隊要提昇這些資產的安全性,可能首先需要重新進行部署或增加使用授權,而這些額外任務及開支都很難證明其合理性,即使這些裝置代表安全負累。
基於以上原因,網絡犯罪集團會被吸引針對這些非受管理的裝置。它們提供出色的隱藏位置。攻擊者可利用完全合法的獲授權工具在網絡上不受管理的裝置之間移動,而不會被注意,在數天、數星期甚至數月內保持低調潛伏。與此同時,進入網絡的罪犯亦可以開始使用您的人工智能代理及訂購的服務來謀取自身利益。
EDR、身份威脅偵測與回應(ITDR)及網絡風險曝險管理並非專門設計來偵測潛伏在不受管理資產中的威脅,或查看內部網絡流量。NDR 則可履行此角色,揭露及關聯可能未察覺的威脅所導致的異常情況。在網絡上發掘未被管理的資產,偵測及關聯缺乏足夠背景資料的低信心「弱信號」警示,然後鎖定威脅及攻擊者。
可視性、關聯性及攻擊路徑追蹤能力有限
您無法保護看不到的東西。攻擊者都會利用加密來隱藏他們的足跡,因此取得已解密網絡流的視野對防止網絡事件是十分重要的。NDR 透過從所有流量、可疑流量或其他方式擷取網絡元數據,讓保安運作中心團隊更了解網絡狀況。有些方案甚至可以分析加密的網絡流量,協助準確及快速識別風險。
此元數據與潛在威脅相關,讓您可目睹攻擊的足跡,並減少任何可能曝露風險的落差。看看整個攻擊鏈、找出根本原因,並在整個保安層決定事故的完整範圍。NDR 也提供了一種方法來發掘潛藏的漏洞。第三方掃瞄工具的輸出可以與專家保安知識相輔相成,以率先修補潛在漏洞。
在透過單一網絡保安平台整合數據池及網絡保安方案時,NDR 的啟示可以更快及更有效地運用,尤其是在結合人工智能自動化的情況下。這有助您的團隊釋放工作負載、加速偵測、降低成本及誤判,並保持領先。NDR 方案可關聯多個層面的資料,能將真正的威脅隔離,觸發保安運作中心團隊可信任的有意義警報。
NDR 方案的組件是什麼?
最主動的 NDR 方案結合了強大的組件及功能,包括:
- 建立網絡流量模型,凸顯異常情況,而偵測方式是以行為作基礎,而非尋找特定特徵;這需要機器學習及進階分析
- 適當調整方案後,提供持續低的假陽性率,確保保安運作中心團隊可信任他們收到的結果
- 將警示整合及關聯以結構化事故,讓您更易優先排序風險及調查威脅
- 透過自動化回應來遏制或阻截威脅,簡化保安運作
- 擁有縮擴能力配合網絡擴展及讓更多裝置與之連接
- 內建持續改進能力
支援零信任方法
零信任是現今限制企業資產及資源存取的最佳架構,協助機構防範入侵及攻擊。2024 年 ESG 報告顯示,超過三份二的組織正在實施零信任政策。* 要在對抗攻擊者的每一個環節中保持領先,以 NDR 等功能來運作零信任是關鍵所在。這令您的團隊能夠全面了解網絡資產、用戶行為及數據流,幫助您對應及主動管理風險。
內嵌 NDR 與頻外 NDR
與較傳統的 NDR 方法不同,內嵌的 NDR 感測器處於網絡流量中,可強化保安運作。內網 NDR 可解密、分析及自動回應可疑行為。這套實時的網絡防護是理想的選擇,為保安運作中心團隊提供防護環境所需的工具、速度及效率。
頻外 NDR 的參與程度較低,感測器在網絡流量以外實施。這種方法較為被動,會謹慎地收集網絡流量及檢查風險。頻外 NDR 最初適用於更敏感的環境,例如有嚴格合規需要或效能影響問題的環境。然而,作為一種更為孤立和獨立的方式,它已被一些內網 NDR 方案淘汰。
NDR 方案有何好處?
無縫整合及互通性
快速事故回應及風險優先次序
NDR 讓您比對手更快採取行動,以更快及更精準的速度主動管理已知及未知網絡風險。自動化工作流程協助保安運作中心團隊整理及優先處理保安警報,減低疲勞及混亂,同時釋放資源。環境化、整合的保安事件分析令他們能更快回應及在造成任何損害前解決漏洞。
減少誤判
NDR 透過執行嚴格的存取控制及監控網絡資產、行為及數據流,協助保安運作中心團隊偵測及防止未經授權的橫向移動及權限提升。較少誤判意味著能夠專注於最需要緊急關注的事情。
與零信任保持一致
NDR 的實施協助機構採用零信任保安,嚴密控制敏感資料、資產及網絡存取。透過持續監控用戶行為及裝置活動,NDR 可更易發現有風險的行動,並執行嚴格的存取規則,降低入侵及未經授權存取的可能性。
可擴展及適應最新威脅
NDR 讓保安運作中心團隊能夠持續精簡及優化其運作,並按需要擴展規模,同時減低壓力。詳盡的網絡風險分析帶來預測及適應最新威脅的機會。考慮到科技及網絡環境不斷變化,這一點至關重要。跟上步伐並不足夠。
NDR 方案如何與人工智能配合使用?
黑客正積極利用人工智能的力量,使網絡罪行更輕鬆、更快、更危險。與此同時,人工智能本身亦有助大幅強化您的防護。利用它來取得威脅情報、資產檔案管理、攻擊路徑預測及修正指引,包括採用人工智能的 NDR、EDR 及 XDR,都能協助您安全地營運及創新。
人工智能及機器學習是 NDR 的核心,改變保安運作中心團隊管理風險及保護網絡環境的方式。這些技術讓機構能從被動轉向主動式防護,強化即時防護,同時適應環境、行為及攻擊方式的改變。
自動化回應工作流程及整合保安數據池,讓保安運作中心團隊比攻擊者更快採取行動,在威脅升級前處理風險及減低威脅。與 XDR、EDR、SIEM 及 SOAR 方案的無縫相互操作性亦能確保網絡保安永遠不會孤立或中斷。反之,它可以在環境的每個層面進行全面管理。
我可以在哪裡獲得 NDR 的協助?
擁有合適的 NDR 方案是關鍵,但它需要能夠預測整個攻擊鏈、找出根本原因及事故範圍,並主動應用跨層面偵測及回應。Trend Vision One™ XDR for Networks 提供網絡及跨層面威脅的視野,確保合規及無盲點。
取得整體視野後,您就能在各個防護層套用威脅回應行動,以原生的內網行動、自動化程序手冊及/或整合第三方回應來達致持續、具彈性的防護。
*資料來源:Grady, J.(2024 年 2 月 14 日)。零信任趨勢:策略和實踐仍然分散,但很多人都取得成功。TechTarget. https://www.techtarget.com/esg-global/survey-results/trends-in-zero-trust-strategies-and-practices-remain-fragmented-but-many-are-seeing-success/
李兆熙是趨勢科技產品管理副總裁,負責領導企業電郵與網絡資訊保安方案的全球策略與產品開發。他在資訊科技和網絡資訊保安領域累積了 30 多年的經驗,其職業生涯涵蓋基礎架構設計、數據中心營運及資訊保安領導。他早期的事業包括建立歐洲和日本的資訊科技部門,與及管理台灣和菲律賓的保安運作中心,令他深入了解企業面對的挑戰。
這個根基協助他開發符合真實世界需要的創新及可擴充方案。李兆熙以其策略性前瞻、全球產品團隊指導及推動跨部門合作的能力聞名,提供市場領先的資訊保安產品。
常見問題
甚麼是 NDR?
NDR 是一個網絡保安方案,監察網絡流量以識別、預防及回應網絡攻擊。
NDR 比 EDR 好嗎?
兩者都沒有更好。EDR 保護電腦及手機等用戶端。NDR 保護整個網絡。
NDR 對保安的意義是甚麼?
NDR 代表網絡偵測與回應。NDR 是一套網絡保安方案,監察網絡流量,以偵測異常情況及可能的網絡威脅。
NDR 的例子是甚麼?
NDR 工具的例子包括惡意程式偵測軟件、內部威脅偵測系統及網絡釣魚偵測工具。
NDR 的目的是甚麼?
NDR 的目的是識別、偵測及回應資訊科技網絡中的潛在網絡攻擊及其他網絡威脅。
防火牆與 NDR 有何分別?
防火牆是邊境防禦系統,可防止不良行為者未經授權存取資訊科技系統。NDR 可偵測經由防火牆的威脅。
甚麼是網絡威脅偵測?
網絡威脅偵測是一個網絡保安程序,監察網絡流量,以實時識別及偵測網絡攻擊及網絡威脅。
四種網絡保安是甚麼?
主要的四類網絡保安包括防火牆、虛擬私人網絡(VPN)、入侵偵測及預防系統(IDPS),以及存取及授權管控。
網絡保安的五大風險是甚麼?
現時的五大網絡保安風險包括勒索程式及惡意程式攻擊、網絡釣魚、數據外洩、內部威脅及分散式阻斷服務攻擊。
NDR 有何用途?
NDR 是一個網絡保安方案,用於識別、預防及主動回應網絡流量的潛在網絡威脅。